Não é nada surpreendente que o Reddit, sendo o 18º site mais visitado do mundo e a sétima rede social mais usada, também seja um grande atrativo para cibercriminosos. Além de uma infinidade de subreddits legítimos e fotos adoráveis de alienígenas, os usuários do Reddit também podem encontrar vários tipos de golpes no site, incluindo fraudes que visam seus dados e dinheiro.

Neste post, vamos explorar alguns tipos comuns de fraudes que você deve estar ciente ao usar uma plataforma que até recentemente era anunciada como a front page da Internet.

Phishing

O phishing geralmente é um dos tipos mais frequentes de ataques cibernéticos. Normalmente, se apresenta na forma de um e-mail ou mensagem de texto que se faz passar por uma solicitação legítima de suas credenciais de acesso, informações de cartão de crédito ou outros dados pessoais.

No Reddit, esse tipo de fraude geralmente se propaga por meio de mensagens privadas que os moderadores do fórum não podem ler, facilitando aos criminosos enganar as vítimas para que cliquem em links suspeitos, forneçam suas credenciais de login ou baixem malware em seus dispositivos.

Em alguns ataques de phishing, os golpistas enviam um grande número de mensagens geralmente relacionadas a eventos atuais e exploram, por exemplo, o ativismo comunitário, como quando os usuários do Reddit que pretendem se reunir para um protesto recebem um link falso para o evento.

Para reconhecer o phishing, leia cuidadosamente toda a mensagem, procure por erros gramaticais, verifique o remetente e preste atenção aos links e anexos inesperados. Se o domínio parecer legítimo, mas algo não estiver certo, provavelmente é uma campanha de phishing.

Leia mais: Golpes mais comuns no LinkedIn: cuidado com as falsas ofertas de emprego

Spearphishing

Esta versão específica e mais sofisticada do phishing é baseada em mensagens especialmente projetadas para uma pessoa ou um grupo de pessoas, como os funcionários de uma empresa. Os usuários ativos do Reddit que divulgam muitas informações sobre suas vidas em subreddits ou mesmo em outros sites podem ser especialmente suscetíveis a esse tipo de ataque.

Como observação adicional, um funcionário do Reddit também foi vítima de um golpe de spearphishing em fevereiro de 2023, levando a um vazamento de segurança que permitiu que os invasores acessassem os dados dos funcionários. Os cibercriminosos haviam enviado mensagens corporativas falsas aos funcionários do Reddit, direcionando-os para um site de phishing semelhante à entrada da intranet do Reddit. O funcionário, sem saber, forneceu suas credenciais de login, permitindo que os criminosos acessassem documentos internos, código, painéis de controle e sistemas empresariais do site.

Subreddits Falsos

A principal característica do Reddit é permitir que as pessoas criem seus próprios espaços de discussão conhecidos como "subreddits", que são supervisionados por moderadores para garantir que os usuários sigam as regras.

Isso cria um ambiente onde esses fóruns de discussão ganham a confiança dos usuários. No entanto, os golpistas estão sempre procurando maneiras de explorar essa confiança, usando bots que criam novos subreddits onde praticamente tudo é falso: moderadores, subredditors e postagens retiradas de fontes legítimas. Os subreddits falsos frequentemente se passam por fóruns de comércio de criptomoedas, e seus moderadores se fazem passar por comerciantes legítimos.

Golpes Beneficentes

Alguns fóruns do Reddit são focados em causas beneficentes. Infelizmente, eles também podem se tornar terreno fértil para golpes, já que os subreddits atraem criminosos que se passam por serviços beneficentes legítimos e se aproveitam da empatia das pessoas.

Por exemplo, golpistas foram vistos explorando o subreddit r/Assistance, onde as pessoas buscam ou solicitam ajuda em várias situações da vida. Em abril de 2020, seus administradores alertaram sobre golpistas que usavam perfis falsos com etiquetas CashApp começando por $SuperGo**** ou $Falco****** e se passavam por assistência legítima para transferir dinheiro para pessoas necessitadas. No entanto, várias pessoas bem-intencionadas enviaram dinheiro aos golpistas sem saber.

"Se você receber uma mensagem privada (PM) de alguém com quem você acredita ter conversado em um post do r/Assistance, certifique-se de clicar em seu perfil e verificar se está enviando mensagens para a pessoa correta antes de fazer qualquer contribuição", escreveram os moderadores do r/Assistance em uma mensagem de advertência em resposta à estratégia.

reddit-scams-article
Alerta de fraude de caridade (Fonte: Reddit).

Estafando pessoas necessitadas

Algumas fraudes também envolvem golpistas que tentam roubar dinheiro, mesmo de pessoas que não têm muito e estão pedindo ajuda. 

"Este golpista usa contas aleatórias com atividade muito limitada ou nenhuma. Eles entram em contato privadamente com usuários em dificuldades que fizeram pedidos recentemente e prometem ajuda, pedem informações bancárias aos usuários ou oferecem um cheque que será devolvido, deixando a conta do solicitante negativa", pode-se ler em um aviso postado no subreddit r/Assistance.

Uma das vítimas descreveu o ataque como uma resposta imediata à sua postagem no Reddit: "Caramba, esses golpistas trabalham rápido! Postei algo no subreddit de epilepsia sobre minhas crescentes contas médicas e momentos depois recebi uma mensagem privada de wilstonb me oferecendo um emprego em casa: 'Posso ajudá-lo financeiramente com suas dívidas'", escreveu.

Golpes com criptomoedas

O Reddit também é popular entre a comunidade de criptomoedas, já que atrai pessoas que acompanham as últimas tendências nesse campo e buscam orientação sobre negociação de criptomoedas.

No entanto, esses usuários do Reddit frequentemente expressam suas frustrações em relação às mensagens que prometem duplicar seus investimentos ou promovem novas moedas que garantem lucros irreais. Essas mensagens geralmente vêm de grupos organizados que acumularam uma grande quantidade de "shitcoins" (criptomoedas de pouco valor) e tentam vendê-las a preços inflacionados por meio de campanhas de marketing on-line. Esses "shills" costumam invadir qualquer subreddit popular de criptomoedas e incomodar os usuários.

Para se proteger dessas fraudes, siga um princípio simples: questione tudo que pareça bom demais para ser verdade. Se alguém oferecer benefícios extravagantes ou reembolsos por suas perdas, denuncie aos administradores do fórum.

Leia mais: Golpes com criptomoedas: o que é necessário saber e como estar protegido

Vamos agora passar para dois tipos diferentes de fraude.

Spam e Redes de Upvoting

O spam é um problema sério no Reddit, exacerbado por grupos bem organizados que exploram o sistema de votação do site, criam conteúdo inventado e possivelmente prejudicial e então o promovem no Reddit com a ajuda de contas falsas. Eles promovem artigos com títulos sensacionalistas que chamam a atenção, mas o conteúdo é mal escrito e cheio de anúncios. Apesar de não serem substanciais, esses artigos recebem muitos votos positivos e comentários, impulsionando-os para as primeiras posições na página principal do subreddit.

Existe um mercado crescente de upvotes no Reddit, com preços variando de 20 a 50 dólares por cada 1 mil votos. Se você encontrar um artigo patrocinado com um link associado que pareça suspeito, não clique nele e denuncie o caso aos administradores do subreddit.

Cultivo de Karma

O Reddit se baseia em um sistema de karma para distinguir entre contas autênticas e falsas, mas os golpistas aprenderam a contorná-lo. Eles criam contas que copiam e colam conteúdo legítimo antigo do Reddit, aumentando sua própria pontuação de karma e se passando por usuários legítimos.

Em seu Relatório de Transparência de 2022, o Reddit revelou que os administradores e moderadores removeram 4% do conteúdo publicado no site em 2022. Surpreendentemente, 80% dessas remoções foram atribuídas ao spam, em particular ao cultivo de karma.

A introdução de chatbots baseados em IA no final do ano passado complicou ainda mais a situação. Em dezembro de 2022, os moderadores do popular subreddit r/AskHistorians perceberam postagens que claramente haviam sido geradas com a ajuda da IA, informou a Vice.

Identificar que as respostas spam do bot eram provenientes do ChatGPT não era o problema, mas "chegavam tão rápido e em grande quantidade", explicou à Vice Sarah Gilbert, uma das moderadoras do fórum e pesquisadora associada na Universidade de Cornell.

No auge do ataque, o fórum bania 75 contas por dia, durante três dias. Antes que as contas falsas fossem fechadas, elas conseguiram divulgar anúncios de algum videogame.

Conclusão

Na era digital atual, os golpes se infiltraram em vários cantos da Internet, incluindo plataformas populares como o Reddit e outras redes sociais. Mantenha-se vigilante enquanto usa o site, tenha cuidado com mensagens e links não solicitados, questione qualquer coisa que pareça boa demais para ser verdadeira e nunca compartilhe excessivamente suas informações pessoais.

Fique atualizado sobre os golpes mais recentes e pratique boas medidas de cibersegurança. O conhecimento é sua melhor defesa contra golpes. Se você permanecer alerta e cauteloso, poderá desfrutar do que o Reddit e outras plataformas de redes sociais têm a oferecer enquanto se protege de fraudes.